Wbudowane definicje usługi Azure Policy dla usługi Azure App Service
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi aplikacja systemu Azure Service. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure App Service
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: Plany usługi App Service powinny być strefowo nadmiarowe | Plany usługi App Service można skonfigurować tak, aby był strefowo nadmiarowy lub nie. Gdy właściwość "zoneRedundant" jest ustawiona na wartość "false" dla planu usługi App Service, nie jest skonfigurowana dla nadmiarowości strefy. Te zasady identyfikują i wymuszają konfigurację nadmiarowości strefy dla planów usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0-preview |
| Miejsca aplikacji usługi App Service powinny być wstrzykiwane do sieci wirtualnej | Wstrzykiwanie aplikacji usługi App Service w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi App Service oraz zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny włączyć routing konfiguracji do usługi Azure Virtual Network | Domyślnie konfiguracja aplikacji, taka jak ściąganie obrazów kontenerów i instalowanie magazynu zawartości, nie będzie kierowana przez regionalną integrację sieci wirtualnej. Użycie interfejsu API do ustawienia opcji routingu na wartość true umożliwia ruch konfiguracji za pośrednictwem sieci wirtualnej platformy Azure. Te ustawienia umożliwiają korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika, a punkty końcowe usługi są prywatne. Aby uzyskać więcej informacji, zobacz https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny włączać ruch wychodzący inny niż RFC 1918 do usługi Azure Virtual Network | Jeśli domyślnie korzystasz z regionalnej integracji usługi Azure Virtual Network (VNET), aplikacja kieruje tylko RFC1918 ruchu do odpowiedniej sieci wirtualnej. Użycie interfejsu API do ustawienia wartości "vnetRouteAllEnabled" na wartość true włącza cały ruch wychodzący do sieci wirtualnej platformy Azure. To ustawienie umożliwia korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika dla całego ruchu wychodzącego z aplikacji usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft Entra na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Miejsca aplikacji usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 1.0.1 |
| Miejsca aplikacji usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Miejsca aplikacji usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP | Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji usługi App Service korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny być wstrzykiwane do sieci wirtualnej | Wstrzykiwanie aplikacji usługi App Service w sieci wirtualnej umożliwia odblokowanie zaawansowanych funkcji sieciowych i zabezpieczeń usługi App Service oraz zapewnia większą kontrolę nad konfiguracją zabezpieczeń sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Aplikacje usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| Aplikacje usługi App Service powinny włączyć routing konfiguracji do usługi Azure Virtual Network | Domyślnie konfiguracja aplikacji, taka jak ściąganie obrazów kontenerów i instalowanie magazynu zawartości, nie będzie kierowana przez regionalną integrację sieci wirtualnej. Użycie interfejsu API do ustawienia opcji routingu na wartość true umożliwia ruch konfiguracji za pośrednictwem sieci wirtualnej platformy Azure. Te ustawienia umożliwiają korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika, a punkty końcowe usługi są prywatne. Aby uzyskać więcej informacji, zobacz https://aka.ms/appservice-vnet-configuration-routing. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aplikacje usługi App Service powinny włączać ruch wychodzący inny niż RFC 1918 do usługi Azure Virtual Network | Jeśli domyślnie korzystasz z regionalnej integracji usługi Azure Virtual Network (VNET), aplikacja kieruje tylko RFC1918 ruchu do odpowiedniej sieci wirtualnej. Użycie interfejsu API do ustawienia wartości "vnetRouteAllEnabled" na wartość true włącza cały ruch wychodzący do sieci wirtualnej platformy Azure. To ustawienie umożliwia korzystanie z funkcji, takich jak sieciowe grupy zabezpieczeń i trasy zdefiniowane przez użytkownika dla całego ruchu wychodzącego z aplikacji usługi App Service. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać jednostki SKU obsługującej link prywatny | W przypadku obsługiwanych jednostek SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikacje, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | Inspekcja, Odmowa, Wyłączone | 4.1.0 |
| Aplikacje usługi App Service powinny używać punktu końcowego usługi sieci wirtualnej | Użyj punktów końcowych usługi sieci wirtualnej, aby ograniczyć dostęp do aplikacji z wybranych podsieci z sieci wirtualnej platformy Azure. Aby dowiedzieć się więcej o punktach końcowych usługi App Service, odwiedź stronę https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje usługi App Service powinny używać linku prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę App Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje usługi App Service korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 3.1.0 |
| Aplikacje usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP | Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania. | AuditIfNotExists, Disabled | 3.2.0 |
| Aplikacje usługi App Service korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 4.1.0 |
| Aplikacje środowiska App Service Environment nie powinny być dostępne za pośrednictwem publicznego Internetu | Aby zapewnić, że aplikacje wdrożone w środowisku App Service Environment nie są dostępne za pośrednictwem publicznego Internetu, należy wdrożyć środowisko App Service Environment z adresem IP w sieci wirtualnej. Aby ustawić adres IP na adres IP sieci wirtualnej, należy wdrożyć środowisko App Service Environment z wewnętrznym modułem równoważenia obciążenia. | Inspekcja, Odmowa, Wyłączone | 3.0.0 |
| Środowisko App Service Environment powinno być skonfigurowane przy użyciu najsilniejszych zestawów szyfrowania TLS | Dwa najbardziej minimalne i najsilniejsze zestawy szyfrowania wymagane do poprawnego działania środowiska App Service Environment to: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Inspekcja, wyłączone | 1.0.0 |
| Środowisko App Service Environment powinno być aprowizowane przy użyciu najnowszych wersji | Zezwalaj na aprowizację tylko środowiska App Service Environment w wersji 2 lub 3. Starsze wersje środowiska App Service Environment wymagają ręcznego zarządzania zasobami platformy Azure i mają większe ograniczenia skalowania. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Inspekcja, wyłączone | 1.0.1 |
| Środowisko App Service Environment powinno mieć wyłączone protokoły TLS 1.0 i 1.1 | Protokoły TLS 1.0 i 1.1 są nieaktualne, które nie obsługują nowoczesnych algorytmów kryptograficznych. Wyłączenie przychodzącego ruchu TLS 1.0 i 1.1 pomaga zabezpieczyć aplikacje w środowisku App Service Environment. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla witryn SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że miejsca usługi App Service wymagają wyłącznie tożsamości firmy Microsoft Entra na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usług App Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie miejsc aplikacji usługi App Service tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie miejsc aplikacji usługi App Service w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie miejsc aplikacji usługi App Service do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia uwierzytelniania lokalnego dla witryn SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usług App Services, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie aplikacji usługi App Service tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie aplikacji usługi App Service w celu wyłączenia zdalnego debugowania | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie aplikacji usługi App Service do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie miejsc aplikacji funkcji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla aplikacji funkcji, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie miejsc aplikacji funkcji tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie miejsc aplikacji funkcji w celu wyłączenia zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacji funkcji. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie miejsc aplikacji funkcji do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie aplikacji funkcji w celu wyłączenia dostępu do sieci publicznej | Wyłącz dostęp do sieci publicznej dla aplikacji funkcji, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Modyfikowanie, wyłączone | 1.1.0 |
| Konfigurowanie aplikacji funkcji tak, aby były dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Modyfikowanie, wyłączone | 2.0.0 |
| Konfigurowanie aplikacji funkcji w celu wyłączenia zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie aplikacji funkcji do korzystania z najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | DeployIfNotExists, Disabled | 1.0.1 |
| Włączanie rejestrowania według grupy kategorii dla usługi App Service (microsoft.web/sites) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla usługi App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do centrum zdarzeń | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do centrum zdarzeń dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla środowisk App Service Environment (microsoft.web/hostingenvironments) do usługi Storage | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do konta magazynu dla środowisk App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Włączanie rejestrowania według grupy kategorii dla aplikacji funkcji (microsoft.web/sites) w usłudze Log Analytics | Dzienniki zasobów powinny być włączone w celu śledzenia działań i zdarzeń, które mają miejsce w zasobach, oraz zapewniania widoczności i wglądu w wszelkie zmiany, które występują. Te zasady wdrażają ustawienie diagnostyczne przy użyciu grupy kategorii w celu kierowania dzienników do obszaru roboczego usługi Log Analytics dla aplikacji funkcji (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Miejsca aplikacji funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny być wyłączone zdalnego debugowania | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Miejsca aplikacji funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji funkcji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 1.0.0 |
| Miejsca aplikacji funkcji powinny używać najnowszej wersji http | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Miejsca aplikacji funkcji korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: https://aka.ms/app-service-private-endpoint. | Inspekcja, Wyłączone, Odmowa | 1.0.0 |
| Aplikacje funkcji powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AuditIfNotExists, Disabled | 2.0.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać udziału plików platformy Azure dla katalogu zawartości | Katalog zawartości aplikacji funkcji powinien znajdować się w udziale plików platformy Azure. Informacje o koncie magazynu dla udziału plików muszą zostać podane przed jakimkolwiek działaniem publikowania. Aby dowiedzieć się więcej o korzystaniu z usługi Azure Files do hostowania zawartości usługi App Service, zobacz https://go.microsoft.com/fwlink/?linkid=2151594. | Inspekcja, wyłączone | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje funkcji korzystające z języka Java powinny używać określonej wersji języka Java | Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania. | AuditIfNotExists, Disabled | 3.1.0 |
| Aplikacje funkcji korzystające z języka Python powinny używać określonej wersji języka Python | Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania. | AuditIfNotExists, Disabled | 4.1.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.